[PDF] TIW4 – Sécurité des Systèmes dInformations Livret dexercices

View - Download TIW4 – Sécurité des Systèmes dInformations Livret dexercices

Previous PDF

Next PDF

TIW4 - Sécurité des Systèmes d"Informations

Livret d"exercices

Romuald Thion

Master 2Technologies de l"Information et Web (TIW)- 2019-2020

Table des matières

1 Politique de sécurité et analyse de risques 7

1.1 Analyse de risquesEbios: généralités . . . . . . . . . . . . . . . . . . . . . . . . .7

1.2 Analyse de risquesEbios: cas d"étude UCBL . . . . . . . . . . . . . . . . . . . . .8

1.3 Analyse de risquesEbios: cas d"étude @RCHIMED . . . . . . . . . . . . . . . . . .8

1.4 Politique de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11

2 Principes de la cryptographie 13

2.1 Principes de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13

2.2 Analyse d"algorithmes de chiffrement simples . . . . . . . . . . . . . . . . . . . . . .

15

2.3 Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16

2.4 Protocoles cryptographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

2.5 Cas d"étude : sauvegarde de clef pour un dossier médical . . . . . . . . . . . . . . .

19

3 Exploitation de vulnérabilités logicielles 23

3.1 Bonnes pratiques de développement logiciel . . . . . . . . . . . . . . . . . . . . . .

23

3.2 Reconnaissance et réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

26

3.3 Étude d"exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27

4 Gestion des autorisations 31

4.1 Modèles de contrôle d"accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

31

4.2 Modèles à rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

33

4.3 Contrôle d"accès dansweb.xml. . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

4.4 Contrôle d"accès XACML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

38

4.5 Filtrage par pare-feux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39

5 Protection de la vie privée 41

5.1 Bases de données hippocratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . .

41

A Appendice43

A.1 Tracesnmap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 A.2 Syntaxe concrèteweb.xml. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 A.3 Exemple XACML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
A.4 Délibérations de la CNIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

A.5 Grille de critères pour l"analyse de la vie privée . . . . . . . . . . . . . . . . . . . . .

52
3

Liste des exercices

Exercice 1Bien supports et menaces génériques. . . . . . . . . . . . . . . . . . . . . .7 Exercice 2Évaluation des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 Exercice 3Étude du contexte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 Exercice 4Détermination des objectifs de sécurité. . . . . . . . . . . . . . . . . . . . .8 Exercice 5étude du contexte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Exercice 6étude des événements redoutés. . . . . . . . . . . . . . . . . . . . . . . . .10

Exercice 7étude des scénarios de menaces. . . . . . . . . . . . . . . . . . . . . . . . .10

Exercice 8détermination des objectifs de sécurité. . . . . . . . . . . . . . . . . . . . .10

Exercice 9Critères non-fonctionnels des systèmes. . . . . . . . . . . . . . . . . . . . .11

Exercice 10Rentabilité d"une politique de sécurité. . . . . . . . . . . . . . . . . . . . .11

Exercice 11Niveau de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Exercice 12Audit de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Exercice 13Principe de Kerckhoffs. . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Exercice 14Recherche exhaustive de clefs symétriques. . . . . . . . . . . . . . . . . . .13 Exercice 15Chiffrement symétrique et asymétrique. . . . . . . . . . . . . . . . . . . .13 Exercice 16Certificats x509 avec openssl. . . . . . . . . . . . . . . . . . . . . . . . . .13 Exercice 17Chiffrement de César. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15 Exercice 18Analyse du chiffrement de Vigenère. . . . . . . . . . . . . . . . . . . . . .15 Exercice 19Chiffrement et déchiffrement avec RSA. . . . . . . . . . . . . . . . . . . .16

Exercice 20Catégorie de procédés d"authentification. . . . . . . . . . . . . . . . . . . .16

Exercice 21Authentification par mots de passe. . . . . . . . . . . . . . . . . . . . . . .16 Exercice 22Protocole imparfait. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17 Exercice 23Vulnérabilité du protocoleWide Mouthed Frog . . . . . . . . . . . . . . . .17 Exercice 24Protocole d"échange de clefs de Diffie-Hellman. . . . . . . . . . . . . . . .17 Exercice 25Protocole d"authentification. . . . . . . . . . . . . . . . . . . . . . . . . .18 Exercice 26Andrew Secure RPC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Exercice 27Déploiement de PGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Exercice 28Serveur de clef Kerberos. . . . . . . . . . . . . . . . . . . . . . . . . . . .19 Exercice 29Sauvegarde de la clef maître d"untoken . . . . . . . . . . . . . . . . . . . .20 Exercice 30Authentification en PHP. . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Exercice 31Bonnes et mauvaises pratique du PhP. . . . . . . . . . . . . . . . . . . . .23 Exercice 32Conseils pour du code sûr. . . . . . . . . . . . . . . . . . . . . . . . . . .24 Exercice 33Guide de style pour du code robuste. . . . . . . . . . . . . . . . . . . . . .24 Exercice 34SYNflooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 Exercice 35Analyse de ports avecnmap. . . . . . . . . . . . . . . . . . . . . . . . . .26 Exercice 36Vulnérabilité logicielledirectory traversal . . . . . . . . . . . . . . . . . . .27 Exercice 37La faille CVE-2011-4029. . . . . . . . . . . . . . . . . . . . . . . . . . . .27 Exercice 38Analyse du bulletin MS10-092. . . . . . . . . . . . . . . . . . . . . . . . .29 Exercice 39Modèle Harrison-Ruzo-Ullman. . . . . . . . . . . . . . . . . . . . . . . . .31 Exercice 40Modèles mandataires à niveaux. . . . . . . . . . . . . . . . . . . . . . . .32 Exercice 41Hiérarchisation des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . .33 Exercice 42Erreurs dans une politique. . . . . . . . . . . . . . . . . . . . . . . . . . .33

Exercice 43Propriétés de l"exclusion mutuelle entre rôles. . . . . . . . . . . . . . . . .34

Exercice 44Modélisation avec les rôles : département informatique. . . . . . . . . . . .34 Exercice 45Modélisation avec les rôles : entreprise de plâtrerie & peintures. . . . . . .35 Exercice 46Implémentation de RBAC avec un SGBD-R. . . . . . . . . . . . . . . . . .35 Exercice 47Modélisation des droits d"accès à la FST. . . . . . . . . . . . . . . . . . .36 Exercice 48Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 Exercice 49Combinaisons de politiques XACML. . . . . . . . . . . . . . . . . . . . . .38 Exercice 50Principes de la configuration. . . . . . . . . . . . . . . . . . . . . . . . . .39 Exercice 51Règles de filtrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39 Exercice 52Analyse de décisions de la CNIL. . . . . . . . . . . . . . . . . . . . . . . .41 Exercice 53Bases de données hippocratiques. . . . . . . . . . . . . . . . . . . . . . . .41

Chapitre 1

Politique de sécurité et analyse de

risques

1.1 Analyse de risques Ebios : généralités

Exercice 1 : Bien supports et menaces génériques ([Age10a, Chapitres 1, 2, 4]) 1. Classer les bien supp ortssuivants s elonles catégo ries: matériels (MAT), logiciels (LOG), canaux informatiques et de téléphonie (RSX), personnes (PER), supports papier (PAP), canaux interpersonnels (CAN), locaux (LOC): fib reoptique do cumentimp rimé ca rtouchede sauvega rde commutateur téléphonique assistant p ersonnel(PD A)

SGBD Oracle

discussions de c ouloir salle de réu nion Linux client de courrier é lectronique p ostede travail salle de confér ence ligne téléphonique 2. Prop oserdes exemples d"impacts génériques : sur le fonctionnement, les humains, les bie ns. Quels autres impacts ne rentrent pas dans les catégories précédentes? 3.

P ourles catégo riesLOG et CAN p récentes,p roposerdes menaces génériques en p récisantle(s)

critère(s) de sécurité concernés et les vulnérabilités exploitables. Par exemple pour PER on

proposerait "Dissipation de l"activité d"une personne" par l"exploitation du temps de travail, du blocage de l"accès d"une personne ou l"exploitation d"une personne en dehors de ses

prérogatives. Cette menace porte atteinte à la disponibilité de la personne et sera efficace sur

les sujets à la dissipation. Exercice 2 : Évaluation des risques ([Age10c, p. 62]) L"action 4.1.1. de la méthodeEbios" Analyser les risques » consiste à mettre en évidence

l"ensemble des risques qui pèsent réellement sur le périmètre de l"étude et à déterminer leur gravité

et leur vraisemblance, une première fois sans tenir compte des mesures de sécurité existantes, et

une seconde fois en les prenant en compte. On fait ainsi le lien entre les événements redoutés et les

scénarios de menaces, c"est-à-dire entre ce que l"organisme craint et ce à quoi il est exposé.7

1.Connaissant les résultats p roduitspa rles étap esp récédentesde la métho de,expliq uercom-

ment identifier les risques.

1.2 Analyse de risques Ebios : cas d"étude UCBL

Description du casLa Direction du Système d"Information (DSI) de l"UCBL désire mettre en place

une Politique de Sécurité du Système d"Information (PSSI). La complexité du SI impose d"utiliser

une méthode pour recenser et classifier exactement ce qu"il faut sécuriser. La méthode Expression

des Besoins et Identification des Objectifs de Sécurité (EBIOS) est retenue pour conduire cette étude

et aboutir à la définition de la PSSI. Parmi les services de l"UCBL, notons celui desfinances, en

charge de la comptabilité, de la gestion des budgets, des marchés et des payes. Les services financiers

s"appuient sur le logiciel SIFAC (Système d"Information, Financier Analytique et Comptable) hébergé

sur un serveur du bâtiment Braconnier. Notons que l"activité services financiers n"est pas régulière,

en effet, ces services sont particulièrement sollicités chaque fin de mois pour les payes et de façon

intense aux mois de novembre et de début décembre avec la clôture de l"exercice budgétaire.

Exercice 3 : Étude du contexte ([Age10a, Age10c]) 1. Les sourc esde menaces au sens Ebiossont les sources non humaines (code malveillant,

phénomène naturel, catastrophe naturelle ou sanitaire, activité animale, événement interne)

ou humaines. Les humaines sont décomposées en interne/externe, avec/sans intention de

nuire et selon leur capacité (faibles, importantes, illimitées). Indiquer quelles sont les sources

de menaces qui peuvent raisonnablement être écartées du contexte de l"étude. 2. Donner de sexemples de sources de menaces p ourles t ypesde sources de menaces suivants : 1. Source humaine interne, sans intention de nuire, avec de faibles c apacités; 2. Source humaine interne, sans intention de nuire, avec des capacités illimitées ; 3. Source humaine externe, sans intention de nuire, avec de faibles capa cités; 4. Source humaine externe, malveillante, avec de fa iblescapacités ; 5.

Événement interne.

3.

Quels sont les critères traditionnels de la sécu rité?La DSI souhaite ajouter le critère de

traçabilitédans le périmètre de son étude. Proposer une définition de ce critère et justifier

l"inclusion de ce nouveau critère dans le contexte. Exercice 4 : Détermination des objectifs de sécurité ([Age10a, Age10c])

Dans le module d"étude des risquesEbios, les risques intolérables du service des finances sont :

risque lié à l"a rrêtde SIF ACen p ériodede clôture ; risque lié l"usurpation d"identité sur la m essagerieélectronique ; 1.

Quelles sont, en général, les différentes p ossibilitésd etraitement des risques ?Lesquelles sont

envisageables dans le contexte de l"étude? 2. Prop oserdes mesures de sécurité p ourréduireles risques.

1.3 Analyse de risques Ebios : cas d"étude @RCHIMED

Description du casLa société @RCHIMED est un bureau d"ingénierie en architecture. Cette PME toulonnaise est constituée d"une douzaine de personnes.

La société @RCHIMED réalise des plans d"usines ou d"immeubles avec l"établissement préalable

de devis. Pour cela, elle calcule des structures, élabore des plans techniques pour ses architectes et

propose des maquettes virtuelles pour ses clients. Le suivi des constructions est aussi assuré par le

cabinet, qui met à jour les plans et calculs si des modifications sont nécessaires.

Le cabinet d"architecture bâti sa réputation grâce à des solutions architecturales originales basées

sur des techniques innovantes. Cette société concourt pour de grands projets nationaux ou interna-

tionaux; elle s"appuie pour cela sur son système informatique qui lui permet de réagir extrêmement

rapidement aux appels d"offre ou aux demandes des clients.

Elle attache également une importance extrême à la qualité des documents remis et plus pré-

cisément aux maquettes virtuelles (visualisations 3D) qui permettent de donner à ses clients une

idée précise et concrète de la solution proposée. Dans un contexte de rude concurrence, rapidité,

précision et originalité des travaux sont des composantes essentielles de son activité.

Par ailleurs, elle a créé son site Internet sur lequel sont présentés les informations concernant la

société et des exemples de devis et de maquettes virtuelles.

L"informatique de la société est reliée par un réseau wifi et le bureau d"études dispose d"un réseau

local de type Ethernet. Le site Internet est hébergé sur un serveur externe. Le bureau d"étude possède

7 ordinateurs, le service commercial 2 ordinateurs portables, le service comptabilité 1 ordinateur, et

le service de gestion de site Internet 1 ordinateur.

Sécurité du système d"informationIl n"y a pas de principes généraux, ni de politique de sécurité,

seulement les quelques règles suivantes : le contrôle d"accès se fait pa ridentifiant /mot de passe ; p rincipede sauvega rdede tout fichier ;

chaque ingé nieurest resp onsabledu fichier qu"il traite, les fichiers sont sauvega rdéssur des

disques USB stockés dans une armoire fermant à clé, située dans le bureau d"études; pa rallèlement,les do cumentspapiers sont rangés dans une a rmoirefo rtedu service commer- cial;

en ce qui concerne la mainten ance,un contrat a été établi avec les fournisseurs de logiciels

avec intervention sous 4 heures.

ConjonctureLa mise en réseau des systèmes informatiques s"est effectuée avec succès et a permis

de réduire encore plus les délais de réalisation des travaux. L"entreprise doit maintenant répondre

au souhait de la majorité des clients qui est de correspondre directement avec le bureau d"étude

via Internet pour transmettre tous les types de documents (dossiers techniques, devis, appel d"offre,

messages...).

L"entreprise a dernièrement perdu un marché : la rénovation de la mairie de Draguignan. Lors

de la présentation des projets, il est apparu de curieuses similitudes entre la maquette virtuelle

d"@RCHIMED et la proposition d"un concurrent de Nice. Le directeur d"@RCHIMED soupçonne une

compromission du projet qu"il avait présenté. Il a maintenant des craintes sur la confidentialité de

certains projets. D"autre part, de plus en plus de contrats pour lesquels @ARCHIMED souhaite se positionner sont

conditionné par la capacité du cabinet à assurer la confidentialité relative aux aspects techniques

du projet. Par exemple, L"appel d"offre pour la rénovation de certaines installations de la marine

nationale de l"arsenal de Toulon entre dans ce cadre.

Compte tenu de son volume et de sa disposition, la société travaille de façon très ouverte.

Cependant, les experts du bureau d"études sont les seuls à pouvoir accéder aux logiciels les plus

performants de conception et de maquettage. Ces experts ont par ailleurs bénéficié d"une formation

à la manipulation de ces outils. Chacun est conscient de ces responsabilités financières, civiles et

pénales associées à l"usage des informations qu"il manipule : dossier client, données nominatives...

Le choix d"une étude de sécurité s"impose donc pour, d"une part, déterminer les conditions qui

permettent l"ouverture du système informatique vers l"extérieur et d"autre part pour déterminer les

mesures de sécurité nécessaires à la protection des projets sensibles. Exercice 5 : étude du contexte ([Age10b, p. 15, p.18]) 1. Donner des exemples de sources de menaces à p rendreen compte dans l"étud ep ourles t ypes de sources de menaces suivants : 1. Source humaine interne, sans intention de nuire, avec de faibles c apacités; 2. Source humaine interne, sans intention de nuire, avec des capacités illimitées ; 3. Source humaine externe, malveillante, avec des capacités imp ortantes; 4. Source humaine externe, malveillante, avec des capacités illimitée ; 5. Source humaine externe, sans intention de nuire, avec de faibles capa cités; 6.

Événement interne.

2.

Identifier 3 p rocessus(métiers) essentiels du cabinet. Quelles sont les info rmationsessentielles

concernées? Exercice 6 : étude des événements redoutés ([Age10b, p. 22])

Pour les activités de création de plans et de calculs de structures, évaluer les événements re-

doutés selon les 3 critères de sécurité disponibilité, intégrité, confidentialité. On utilisera les échelles

suivantes : Disp onibilité: plus de 72h?entre 24 et 72h?entre 4 et 24h?moins de 4h. Intégrité : détectable?maîtrisé?intègre. Confidentialité : public?limité?réservé?privé. Gravité : négligeable?limitée?importante?critique. Evt. Besoin Source Impacts GravitéIndisponibilité

Altération

Compromission

Exercice 7 : étude des scénarios de menaces ([Age10b, p. 24]) Détailler les sources et la vraisemblance des menaces portant sur le réseau wifi. On utilisera l"échelle de vraisemblance suivante :minime?significative?forte?maximale. Menace Source VraisemblanceMenaces sur le réseau wifi causant une indisponibilitéMenaces sur le réseau wifi causant une altérationMenaces sur le réseau wifi causant une compromissionExercice 8 : détermination des objectifs de sécurité ([Age10b, p. 41 à 48]) Au terme de la conduite de la méthode, les risques intolérables identifiés sont : risque lié à l"altération d"un devis qui doit rester rigoureusement intè gre; risque lié à la comp romissiond"un devis au-delà du p ersonnelet des pa rtenaires;

risque lié à l"altération de plans ou de calculs de structures qui doivent rester rigoureusement

intègres; -risque lié à la comp romissionde plans ou calculs de structure sau-delà des p ersonnelset partenaires. Proposer des mesures de sécurité portant sur le bien support " serveurs logiciels du réseau

interne » pour réduire ces risques. Quelles autres mesures fautdrait"il appliquer pour compléter les

précédentes?

1.4 Politique de sécurité

Exercice 9 : Critères non-fonctionnels des systèmes ([GH11, ex. no1.1])

Remplir le tableau récapitulatif en identifiant pour chacune des capacités d"un système, les cri-

tères associés (authenticité, auditabilité, intégrité, imputabilité, sûreté, exactitude, fiabilité, disponi-

bilité, accessibilité, continuité, traçabilité, confidentialité) et des exemples de mesures qui contribuent

à les assurer.

Capacité Critères MesuresExécuter des actions

Permettre l"accès aux entités

autoriséesProuver les actions Exercice 10 : Rentabilité d"une politique de sécurité ([AJO10, ex. no105]) Une entreprise remarque que, statistiquement, elle souffre chaque année de 5 infections virales

et 3 défigurations de son site web. La remise en état après une infection coûte 2 jours de travail de

l"administrateur, soit environ 2000e. La remise en état du site web nécessite environ 500e. On

évalue la mise en place d"un produit d"antivirus ainsi qu"un système de protection pour le site web

à environ 30.000epar an.

1.

À pa rtirdes données numériq uesp récédentes,évaluer le retou rsur investissement des mesures

envisagées. 2. En quoi cette évaluation n"est pas adéquate, que f aut"ilp rendreen compte d"autre ? Exercice 11 : Niveau de sécurité ([AJO10, ex. no104])

On appellesecurity gapla constatation que le niveau réel de sécurité d"un système d"information

est toujours inférieur à celui estimé. De plus, cette différence de niveau tend à augmenter à mesure

que le temps passe. 1. Donner d euxraisons qui expliquent c ettedifféren ce. 2. Décrire le genre de mesures à p rendrep ouréviter une baisse du niveau de sécurité. Exercice 12 : Audit de sécurité ([AJO10, ex. no106])

Une entreprise organise un appel d"offre pour faire auditer la sécurité de son réseau. Trois offres

sont proposées : 1.

un audit conceptuel: plans, schémas et configurations du réseau sont demandés. À partir de

ces informations, l"expert estimera si le réseau est sûr ou non; 2.

un scan de vulnérabilités: à l"aide de sondes spécialisées plaçées à différents endroits du

réseaux, l"expert découvrira automatiquement les vulnérabilités des équipements; 3.

un test d"intrusion: sans aucune information préalable, l"expert tentera de pénétrer le réseau

de l"entreprise depuis Internet et de s"approprier des informations confidentielles.

Chaque audit est utile à sa manière. Pour chacun, décrire une situation qui en ferait l"usage

approprié.

Chapitre 2

Principes de la cryptographie

2.1 Principes de la cryptographie

Exercice 13 : Principe de Kerckhoffs ([AJO10, ex. no55]) En 1883 Augustin Kerckhoffs a établi un principe fondamental (de la cryptographie) " il faut

qu"un système cryptographique n"exige pas le secret, et qu"il puisse sans inconvénient tomber entre

les mains de l"ennemi ». Expliquer ce principe. Exercice 14 : Recherche exhaustive de clefs symétriques ([AJO10, ex. no60]) On suppose qu"une machine spécialisée meten moyenne4,5 jours pour retrouver une clef DES

56 bits par recherche exhaustive. Combien de temps mettrait-elle en moyenne pour trouver une clef

40 bits? De 112 bits? Une clef de 56 bits dans le pire des cas?

Exercice 15 : Chiffrement symétrique et asymétrique ([AJO10, ex. no64]) Un groupe denpersonnes souhaite s"échangerdeux à deuxdes informations confidentielles. Les informations échangées entre deux membres ne doivent pas pouvoir être lues par les autres. 1. Dans le cas où le group echoisisse un système de chiffrement symétrique, quel est le nombre minimal de clefs nécessaires? 2.

Dans le cas où le group echoisisse un système de chiffrement asymétrique, quel-est le nombre

minimal de couples de clefs nécessaires? 3. Synthétiser sous fo rmed"un tableau les avantages et inconvénients resp ectifsdu chiffrement symétriqueetasymétrique. Le groupe choisit finalement un système hybride qui utilise la cryptographie symétriqueetasymétrique comme PGP, pourquoi?

Exercice 16 : Certificats x509 avec openssl

On exécute la séquence de trois commandes pour générer un certificat (norme x509) :

1.openssl genrsa -aes256 -out my.key 32

2.openssl req -new -key my.key -x509 -days 3650 -out my.crt

3.openssl x509 -text -in my.crt

1. Intuiter ce que font ces trois lignes du script. Dans cet exemple, qui signe la clef publique du certificat, avec quelle clef? 2. On exécute la commande openssl rsa -text -in my.key. Quelle partie commune avec le certificat sera affichée? 3. Il e stfait mention de l"aes-256 dans la p remièreligne de commande mais plus dans l"affichage, pourquoi? Combien de fois un mot de passe est-il demandé lors de l"exécution de ce script?13

Certificate:

Data:

Version: 3 (0x2)

Serial Number: 17264009016492929332 (0xef9614bb5b33b134)

Signature Algorithm: sha1WithRSAEncryption

Issuer: C=FR, ST=Rhone-Alpes, L=Lyon, O=UCBL,

CN=Romuald THION/emailAddress=romuald.thion@univ-lyon1.fr

Validity

Not Before: Oct 1 15:59:57 2012 GMT

Not After : Sep 29 15:59:57 2022 GMT

Subject: C=FR, ST=Rhone-Alpes, L=Lyon, O=UCBL,

CN=Romuald THION/emailAddress=romuald.thion@univ-lyon1.fr

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

f8:ea:6f:75:d1:d4:61:ae:c5

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Subject Key Identifier:

X509v3 Authority Key Identifier:

X509v3 Basic Constraints:

CA:TRUE

Signature Algorithm: sha1WithRSAEncryption

65:71
-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

2.2 Analyse d"algorithmes de chiffrement simples

Exercice 17 : Chiffrement de César

Le chiffrement de César, ou chiffrement à décalage, est un système à substitution mono-alphabétique

où chaque lettre du message en clair est décalée d"un pas constant. L"image suivante issue Wikipedia

illustre le procédé dans le cas d"un décalage de 3 lettres.1.S"agit-il d "unchiffrement à flux ou à blo c?Com bienexiste-t-il d ese cretsp ource chiffrement ?

2.

On souhaite chiffrer le texte " A ttaquez,maintenant !». Préciser les p ré-traitementsà effe c-

tuer avant de chiffrer le message et calculer son chiffré avec la clef 6. 3. Expliquer la p rocédurede déchiffrement et déchiffrer dwwdtxhcpdlqwhqdqwavec la clef 3. 4. Sachant q u"unc hiffréest issu d"un clair en français, expliquer comment casser le co dede César en utilisant un argument sur la fréquence des lettres. 5.

Déchiffrer le message jlzabullupntl.

6.

On p roposeune mo dificationdu chiffre de Césa roù l"on utilise non plus un décalage à pas

constant mais une bijection quelconque de l"alphabet dans lui-même. Comparer le nombre de

clefs possibles dans ce cas au précédent. L"analyse fréquentielle est-elle encore envisageable?

Exercice 18 : Analyse du chiffrement de Vigenère

Le chiffrement de Vigenère (1523 - 1596) est un système à substitution poly-alphabétique qui

étend celui de César. Ce chiffre évite qu"une lettre du clair soit toujours chiffrée de la même façon,

le rendant ainsi plus résistant aux attaques statistiques telle que celle sur le chiffre de César. Son

principe est le suivant : on se donne une clef et un clair sur le même alphabet, ensuite chaque

caractère de la clef est utilisé pour un décalage " à la César ». On répète la clef autant de fois que

nécessaire. Par exemple :claira t t a q u e z m a i n t e n a n t

clefa b c d a b c d a b c d a b c d a bchiffréa u v d q v g c m b k q t f p d n u1.L"augmentation a rtificiellepa rrép étitiond"un eclef augmente-t-elle la sécurité, pa rexemple,

bonjourbonjourbonjour? 2. Chiffrer le clair " A ttaquez,maintenant !» avec la clef crypto. 3. Si le texte clair est suffisamment long, il est p ossibled"avoir des séquences de lettres qui se répètent. À quelle conditions ces séquences auront-elles les mêmes chiffrés? 4.

Si plusieurs séquences différentes sont rép étéesà des intervalles différe nts,que p eut-onen

déduire sur la longueur de la clef utilisée?

5.Déterminer les longueurs p ossiblesde la clef utilisée p ourchiffrer la séquence

eiwemcgjratpdickwseiwemciiyeawg. 6.

Une fois la longueur de clef dé terminée,expliquer comment utiliser l"attaque fréquentielle de

l"exercice précédent. 7.quotesdbs_dbs1.pdfusesText_1

[PDF] exercice simplexe minimisation

[PDF] exercice simplification d'équation logique

[PDF] exercice site donneur et accepteur d'électrons

[PDF] exercice solution espace vectoriel

[PDF] exercice son g et j ce1

[PDF] exercice spé maths terminale es type bac

[PDF] exercice spé maths terminale s arithmétique

[PDF] exercice spé maths terminale s divisibilité

[PDF] exercice spé maths terminale s matrice

[PDF] exercice spé physique bac 2015

[PDF] exercice spectre d une étoile

[PDF] exercice spectre rmn corrigé

[PDF] exercice spectre seconde qcm

[PDF] exercice spectroscopie uv visible

[PDF] exercice sphère